当前位置:首页 > 渗透破解 > 正文内容

研究人员发现 23 个 Android 应用因未确保安全而暴露了超过 1 亿用户的数据

访客56年前 (1970-01-01)渗透破解764

安全漏洞和bug时有发生,这本就是软件开发过程的一部分,但缺陷是由糟糕的编程人员造成的时候,这个问题就会特别令人生气。在应用程序中硬编码认证密钥或未能在在线数据库中设置认证是开发人员无法接受的,然而,这是一个相当普遍的现象。

周四, *** 安全公司Check Point Research发布了一份报告,详细介绍了23个Android系统的不良云配置和实施,可能使数百万用户的数据面临风险。可能泄露的信息包括电子邮件记录、聊天信息、位置信息、图像、用户ID和密码。

一半以上的应用程序的下载量都超过1000万,因此受影响的用户范围很大,Check Point估计,这些应用程序可能已经暴露了超过1亿用户的数据。

大多数应用程序都有实时数据库,开发人员对公众敞开了大门,这个问题非常常见且分布广泛,它的研究人员发现,在他们调查的一半以上的应用程序的数据库中,他们可以自由访问信息。

技术人员还发现,将近一半的应用程序将其云存储密钥嵌入其应用程序的代码中。例如,CPR从一个名为 “iFax”的传真应用程序中获取了密钥,这将使他们能够访问该应用程序的50多万用户发送的每一份传真。出于道德原因,研究人员没有访问这些记录,但通过代码分析验证了他们可以这样做。

他们发现的一个不太常见的问题仍然值得注意,那就是硬编码的推送通知键。嵌入的通知密钥并不像将云存储密钥编码到程序中那么严重,但CPR解释说,这也是同样糟糕的一种做法。

“虽然推送通知服务的数据并不总是敏感的,但代表开发者发送通知的能力足以引诱恶意的行为者。想象一下,如果一个新闻输出应用程序向其用户推送一个假的新闻条目通知,将他们引向一个钓鱼网页,要求他们更新订阅。由于该通知源自官方应用程序,用户不会怀疑任何事情,因为他们确信这个通知是由开发人员发送的”。

Check Point表示,在披露这些漏洞之前,它已经通知了应用程序制造商,而且有几个制造商跟进了更新,以修复这些问题。然而,被调查的23个应用只是Google Play上287万个应用中的一个微不足道的样本,可能有更多的人在使用这些同样糟糕的做法。

(消息及封面来源:cnBeta)

扫描二维码推送至手机访问。

版权声明:本文由黑客技术发布,如需转载请注明出处。

本文链接:https://w-123.com/32467.html

“研究人员发现 23 个 Android 应用因未确保安全而暴露了超过 1 亿用户的数据” 的相关文章

英伟达泄露数据正被用来制作伪装成驱动的病毒

由于自称为 Lapsus$ 的组织泄露了与英伟达黑客攻击相关的数据,被盗的代码签名证书被用于远程访问未受保护的 PC,其他情况下则被用来部署恶意软件。 根据 Techpowerup 的报道,这些证书被用于“开发一种新型恶意软件”,BleepingComputer 将 Cobalt Strike...

最快的勒索软件被发现仅用 4 分多钟就加密了 53GB 的数据

对于IT管理员和网络安全团队来说,勒索软件攻击是一场与时间赛跑的关键比赛,以检测和控制损害,同时抢救公司的数据资产的剩余部分。但是,当这种事件发生时,有多少反应时间呢?似乎不是很多。正如对10个候选勒索软件的测试所揭示的那样,一种名叫LockBit的勒索软件效率惊人,在四分钟内就加密了一台Windo...

开源倡议组织就俄乌冲突期间的乱象表态 不希望将开源工作“武器化”

在俄乌冲突爆发后的一个月时间里,许多组织机构纷纷颁布了针对俄罗斯的制裁。但是对于开源社区来说,将制裁的范围无限扩大,显然并不是声援乌克兰的最佳途径。开放源码倡议(Open Source Initiative)组织指出:尽管大多数软件开发者只是在运行时显示反战或亲乌克兰的信息,但还是有个别项目的维护者...

德国摧毁俄罗斯暗网市场 Hydra 九头蛇 收缴价值 2500 万美元的比特币

据德国媒体报道,德国执法机构在最近的执法行动中扣押俄罗斯暗网市场Hydra的服务器,同时收缴价值2500万美元的比特币。不知道这个黑市的创始人是不是漫威的粉丝,所以才会起九头蛇这个名字。 目前访问该市场会弹出德国执法机构挂出的提示,而收缴的2500万美元比特币只是很小的一部分,具体来说是4月5日的一...

伦敦警方指控两名少年多项网络罪名 涉嫌参与 Lapsus$

针对黑客组织 Lapsus$ 的专项打击活动仍在继续,就在一周前逮捕 7 名青少年之后,英国警方指控 2 名青少年犯有多项网络罪行。目前这 2 人仍处于拘留中,并将于本周五晚些时候在海布里角地方法院出庭。 在周五的一份声明中,伦敦市警察局探长迈克尔·奥沙利文表示这两名年龄分别为 16 岁和 17...

苹果公司发出警告后 Pegasus 黑客受害者陆续浮出水面

NSO的Pegasus(飞马)iPhone黑客是今年最重要的科技争议之一。过去几个月的几份报告揭示了一个令人难以置信的复杂的iPhone黑客攻击活动。Pegasus允许国家行为者通过使用零日攻击来监视使用iPhone的特定人物目标。 受害者甚至不需要点击信息中的链接来安装PegASUS间谍软件程序...

评论列表

鸠骨眉妩
2年前 (2022-06-13)

更新订阅。由于该通知源自官方应用程序,用户不会怀疑任何事情,因为他们确信这个通知是由开发人员发送的”。Check Point表示,在披露这些漏洞之前,它已经通知了应用程序制造

鸠骨败骨
2年前 (2022-06-13)

知,将他们引向一个钓鱼网页,要求他们更新订阅。由于该通知源自官方应用程序,用户不会怀疑任何事情,因为他们确信这个通知是由开发人员发送的”。Check Point表示,在披露这些漏洞之前,它已经通知了应用程序制造商,而且有几个制

莣萳等灯
2年前 (2022-06-13)

布广泛,它的研究人员发现,在他们调查的一半以上的应用程序的数据库中,他们可以自由访问信息。技术人员还发现,将近一半的应用程序将其云存储密钥嵌入其应用程序的代码中。例如,CPR从一个名为 “iFax”的传真应用程序中获取了密钥,

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。